Erkennung von gefälschten Voicemail-Kampagnen: Alte-neue Phishing-Attacke trifft die USA
Inhaltsverzeichnis:
Eine neue Phishing-Kampagne ist im Aufschwung, die eine breite Palette von Branchen und Organisationen in den USA betrifft, darunter kritische Infrastrukturen wie Sicherheit, Gesundheitswesen und Pharmazeutika, das Militär und auch die Lieferkette der Fertigung. Der Betrug breitete sich im Mai 2022 über die USA aus und dauert immer noch an. Die Ziele erhalten eine Phishing-Benachrichtigungs-E-Mail, in der behauptet wird, es sei eine neue Voicemail angehängt, die tatsächlich einen bösartigen HTML-Anhang verbirgt. Wenn das potenzielle Opfer darauf doppelklickt, wird es zu einer Office365- und Outlook-Anmeldedaten-Phishing-Website weitergeleitet.
Erkennung Neuer Phishing-Betrug
Um Ihre Unternehmensinfrastruktur zu schützen und mögliche Infektionen zu verhindern, können Sie eine Sigma-Regel herunterladen, die von einem der führenden Entwickler des Threat Bounty-Programms Osman Demir:
Verdächtige Fake-Voicemail-Phishing-Kampagne zielt auf US-Organisationen (über Proxy) – Juni 2022
Möchten Sie an Bedrohungssuche-Initiativen teilnehmen und Ihre Erkennungsinhalte teilen? Treten Sie unserem Threat Bounty-Programm für eine sichere Zukunft bei! Letzten Monat haben seine Mitglieder 184 einzigartige Erkennungen zur SOC Prime’s Detection as Code-Plattform beigetragen. Verpassen Sie nicht die Chance, zu den Beitragenden zu gehören und wiederkehrende Geldprämien zu verdienen.
Die Regel ist an das MITRE ATT&CK®-Framework v.10. ausgerichtet, das die Taktik des Initial Access mit der Phishing-Technik (T1566; T1566.002) anspricht. Diese Erkennung hat Übersetzungen für die folgenden SIEM-, EDR- & XDR-Plattformen: Microsoft Sentinel, Microsoft APT, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Chronicle Security, Securonix, Qualys, Apache Kafka ksqlDB, Open Distro und AWS OpenSearch.
Die zunehmende Anzahl und Schwere von Phishing-Vorfällen schafft eine erweiterte Angriffsfläche, die die Anzahl der betroffenen Benutzer ständig erhöht. Um über Erkennungsinhalte zu dieser und anderen Bedrohungen auf dem neuesten Stand zu bleiben, registrieren Sie sich für die SOC Prime-Plattform. Der Detect & Hunt -Knopf wird Sie zu einer umfangreichen Bibliothek von Sigma- und YARA-Regeln führen, die zu über 25 SIEM-, EDR- und XDR-Lösungen übersetzt wurden. Haben Sie noch kein Konto? Schauen Sie sich die Suchmaschine von SOC Prime an, um sofort vollständige Cyber-Bedrohungskontexte, MITRE ATT&CK-Referenzen und Sigma-Regeln zu entdecken, indem Sie den Explore Threat Context -Knopf drücken.
Detect & Hunt Explore Threat Context
Beschreibung des Voicemail-Phishing-Betrugs
„Neu ist das wohl vergessene Alte“ – das Motto des Voicemail-Phishing-Betrugs, den dieser Artikel beschreibt. Die Phishing-Kampagne, die letzten Monat in Aktion trat, basiert auf einer sehr ähnlichen, die im Sommer 2020 aktiv war, berichten Sicherheitsexperten von ZScaler . Dieses Jahrwurde dieses Cloud-Sicherheitsunternehmen eines der Ziele, also veröffentlichten sie nach dem Angriff einen ausführlichen Bericht über die Bedrohung.
Laut den Forschungsdaten zielt die Kampagne auf US-basierte Benutzer ab, die mit ziemlich großen Unternehmen verbunden sind, mit dem Ziel ihre Office365-Anmeldedaten zu stehlen. Die Hintermänner der Kampagne nutzen E-Mail-Dienste in Japan, um ihre Kommunikation zu leiten und die Absenderadresse zu fälschen, sodass die E-Mails aus dem Inneren der angegriffenen Firma zu kommen scheinen, um sie vertrauenswürdiger zu machen. Diese Phishing-Benachrichtigungen enthalten eine gefälschte Voicemail. Sobald das Ziel die falsche Voicemail öffnet, die tatsächlich ein bösartiger HTML-Anhang mit einem kodierten JavaScript ist, wird das Opfer auf eine Phishing-Website geleitet. Der angezielte Benutzer wird zuerst zu einer CAPTCHA-Prüfung umgeleitet, die dazu dient, automatisierte URL-Analyse-Algorithmen zu umgehen und ein allgemeines Vertrauen zu stärken. Nach erfolgreich bestandener CAPTCHA-Prüfung findet sich das Opfer auf einer Seite wieder, die eine legitime Microsoft-Anmeldung nachahmt. An diesem Punkt brauchen die Angreifer nur noch, dass das Opfer seine Anmeldedaten korrekt eingibt – und, voilà! Die Anmeldedaten des Ziels werden erfolgreich abgefangen.
Bereit, die SOC Prime-Plattform zu erkunden und die Detection as Code in Aktion zu sehen? Melden Sie sich kostenlos an, um Zugang zu über 185.000 einzigartigen Jagdanfragen, Parsern, SOC-fertigen Dashboards, Sigma-, YARA-, Snort-kuratierten Regeln und Incident Response Playbooks zu erhalten, die auf 25 marktführende SIEM-, EDR- und XDR-Technologien zugeschnitten sind.
